Instalación de Certificados Code Signing.

La Instalación de Certificados Code Signing o Firmas Digitales ayuda a los fabricantes de dispositivos, proveedores de redes inalámbricas y plataformas, editores, desarrolladores o distribuidores de software a garantizar seguridad para los clientes y usuarios en las descargas de sus códigos y contenidos. Con este propósito, la instalación de Certificados Code Signing implica una serie de requisitos que permiten a VeriSign®, como Tercero de Confianza, verificar las identidades de la Organizaciones que solicitan los Certificados y proteger la integridad de sus códigos en la web con altos estándares de confianza.

La Instalación de Certificados Code Signing es vital para garantizar que la firma digital es confiable. Esto se explica porque cuando algunas aplicaciones y plataformas de software descifran la firma digital, buscan un Certificado raíz, es decir, la fuente de información sobre el origen o identidad. Los Certificados digitales firmados por su propia Empresa indican que posee su propio Certificado raíz y auto acreditan su propia identidad.

Sin embargo, en la mayoría de los casos, su Certificado raíz no estará disponible para software y dispositivos de terceros, por lo que, aparecerá un mensaje de advertencia. En la mayoría de los casos, los mensajes de advertencia detienen las descargas porque revelan que los Certificados raíz auto emitidos por las Organizaciones no son inherentemente de confianza y para los usuarios representan el riesgo de instalar aplicaciones poco seguras y descargar código o contenido que cause daño a sus equipos.

Entonces, al suscribir un Certificado digital de una Autoridad Certificadora (CA), la CA autentica su identidad y ofrece un Certificado que se desprende de su Certificado raíz. Si el software o el dispositivo confían en el proveedor del Certificado raíz, automáticamente, confiarán en la empresa.

Por ello, los Certificados raíz de VeriSign® vienen preinstalados en la mayoría de dispositivos de los usuarios finales e incorporados en casi todas las aplicaciones. Con lo que es posible constatar que las firmas digitales de VeriSign® son de confianza y reducir los mensajes de advertencia y error.

De esta manera, la Instalación de Certificados Code Signing de VeriSign® los usuarios web constata la confiabilidad de la Firma Digital de una Organización. Además, garantiza que el código no ha sido manipulado y que procede de una Organización verificada por una Autoridad de Certificación externa. Esto significa que el solicitante del Certificado se sometió a un proceso de investigación y autenticación.

Consecuentemente, en la Instalación de Certificados Code Signing es necesario considerar que VeriSign®, para asociar los códigos descargables por internet con sus desarrolladores, recopilará información sobre la Organización y realizará procesos de autenticación y validación. La duración de los procesos puede tardar un par de horas o varios días, dependiendo de los datos proporcionados y la facilidad de verificarlos. Entre ellos se encuentran:

• Contacto técnico.- Nombre, dirección, número de teléfono y el correo electrónico donde deben enviarse el Certificado y las notificaciones de renovación.
• Nombre de la Organización que aparecerá en el Certificado de firma de código.
• Los datos codificados acerca del identificador de software o hardware en el que se genera el par de claves (pública y privada).
• La clave privada para que VeriSign® pueda generar la clave pública. Al respecto, cabe señalar que si se pierde o se duda de la seguridad de la clave privada o se cambia su información, se debe revocar inmediatamente el Certificado de Code Signing y reemplazarlo por uno nuevo.
• Frase de comprobación o contraseña para renovar o revocar el Certificado.
• Contacto con la persona responsable de la solicitud del Certificado dentro de la Organización. Se sugiere proporcionar información precisa para agilizar el proceso y garantizar que las notificaciones de renovación lleguen al contacto autorizado de la Organización.
• Forma de pago. Existen posibilidades de realizar el pago mediante tarjeta de crédito, orden de compra, cheque o giro. Como VeriSign® debe recibir el pago antes de suministrar su Certificado, si el pago es con tarjeta de crédito se agilizará la entrega.

Por otro lado, para comprar y realizar la Instalación de Certificados Code Signing se debe tomar en cuenta el período de validez deseable. Durante su validez se puede firmar código tantas veces como sea necesario. Sin embargo, cuando el Certificado caduca, también lo hacen las firmas digitales que dependen de él. No obstante, se incluye un registro de fecha y hora (timestamp), que permite a los usuarios comprobar que el Certificado era válido en el momento en que se firmó digitalmente.

La Instalación de Certificados Code Signing se puede hacer en cualquier equipo. Sin embargo, para mejorar la gestión y la seguridad, se recomienda a los desarrolladores adquirir Certificados de firma de código adicionales, uno por cada equipo, en vez de compartirlos.

Asimismo, en caso de que la seguridad de un Certificado se vea comprometida y deba revocarse, todas las aplicaciones firmadas por ese Certificado se desactivarán.

Para mayor facilidad de uso, es recomendable adquirir un Certificado de firma de código para cada plataforma de desarrollo. Es posible utilizar un Certificado de firma de código de una plataforma para firmar código de otras. Sin embargo, cada plataforma requiere que el Certificado tenga un formato distinto. Para utilizar un Certificado en distintas plataformas sería necesario realizar un proceso de conversión en el que se requieren utilidades adicionales.

Para la Instalación de Certificados Code Signing también es importante considerar las diferentes plataformas de software tienen distintos requisitos y herramientas para firmar código. Por lo que, el proceso de solicitud de Certificado de Code Signing será diferente para: Microsoft® Authenticode®, Sun Java®, Microsoft Office® and VBA, Adobe® AIR®, Macromedia® Shockwave® y Authentic IDs for BREW®.

Por ejemplo, entre las condiciones técnicas se requiere:

• Utilizar Internet Explorer 5.0 o una versión superior.
• Si se usa Internet Explorer 7 o una versión más reciente en Windows Vista o superior, es necesario implementar Active X.
• Usar Windows 2000, XP o más actualizada.
• Se debe utilizar la misma PC, Windows login/user profile y el navegador para la instalación del Certificado.
• Si se inscribe con Windows 2000 o XP, el formato de archivo que la recibirá es es .spc y .pvk.
• Si se inscribe con Windows Vista o superior, la clave pública y privada se almacenará en el registro del sistema y será exportable como pfx.

Además, en el caso de las aplicaciones Microsoft Windows®, los desarrolladores sólo necesitan firmar el archivo .cab mediante el Code Signing Certificate correspondiente.

En las aplicaciones Windows Mobile®, se deberán firmar todos los archivos ejecutables que se incluyan en el archivo .cab. En este caso, la cuenta VeriSign® flexible Signing Account firma automáticamente todos los archivos ejecutables incluidos cuando se cargue el archivo .cab para su firma.

Finalmente, es importante mencionar que la Instalación de Certificados Code Signing de VeriSign® no es posible para Netscape Object Signing. Debido a que Netscape ha puesto fin a la asistencia y herramientas de firma para los navegadores Netscape® 4.x. Entonces, para firmar digitalmente archivos para Netscape Object Signing es necesario adquirir VeriSign® Code Signing Certificate for Sun Java®.

Concluyendo, la Instalación de Certificados Code Signing 1) Resguarda la reputación y propiedad intelectual de las Organizaciones; 2) Protege a los usuarios y sus equipos; y 3) Aumenta el número de descargas de código. Para su adquisición, asesoría y soporte técnico por favor ingrese a CertSuperior.com.